Webサーバー、アプリケーションサーバー、およびデータベースサーバーを含むWebアプリケーションの一般的なシナリオを考えてみましょう。すべてのサーバーは、ファイアウォールで区切られた異なるネットワーク領域にあります。
セキュリティの観点から、3つのサーバーをすべて同じ物理サーバーにSolaris 10ゾーンとしてインストールできますか?
Solarisゾーンには、破損したWebサーバーが他のサーバーに影響を与えないようにサーバーを隔離するセキュリティメカニズムはありますか?
答え1
非大域ゾーンを互いに分離する安全メカニズムがあることには疑いの余地はありません。実際には、領域が実装されるように設計された方法がまさにこれだからです。
から抜粋 Oracle®Solarisゾーンの紹介
ゾーンに割り当てられたプロセスは、同じゾーンに割り当てられている他のプロセスと直接操作、監視、および通信できます。プロセスは、システムの他の領域に割り当てられたプロセスまたは領域に割り当てられていないプロセスを使用してこれらの機能を実行することはできません。異なる地域に割り当てられたプロセスは、ネットワークAPIを介してのみ通信できます。
私が知る限り、共有フォルダやネットワークなどの通信チャネルが意図的に設定されていない限り、ngz(ルトラド)で実行されるプロセスが他の領域のデータにアクセスまたは破損する既知のメカニズムはありません。 。ただし、この状況は物理的に分離されたサーバーでも発生する可能性があります。
ngzは異なるゾーンのパフォーマンスに影響を与える可能性があり、2つのゾーンが同じ基本リソース(CPU、メモリ、ディスク、ネットワークなど)を共有している場合はサービス拒否を引き起こす可能性があります。これは、これらのリソースを公正に割り当て、制限すること、またはスケジュールを計画することによって克服することができます。
一方、基本的に大域ゾーンで実行されるプロセスは、その下の各非大域ゾーンに対してある程度の可視性を有する。これが通常、大域ゾーンに管理権限以外の項目をインストールしてはいけません。
標準メカニズムに加えて、次の方法で必要なアクセス制御を有効にできます。Solaris Trusted Extensions。これらの拡張機能はラベルを使用してゾーン、ファイル、ネットワーク、およびデバイスを分類し、要求された操作の認証を強制します。
グローバルゾーン内のゾーン内で実行されている項目を非表示にするもう1つの方法は、次のようにインスタンス化することです。コア地域。これにはSolaris 11.2以降が必要です。
Solaris 10は11年前のバージョンです。多くの機能強化を備えたSolaris 11に切り替えたい場合があります。前述のカーネル領域に加えて、次の点に興味があるかもしれません。定常領域これは攻撃に対する新しい保護層を追加し、改善を導入します。Solaris 11 Trusted Extensions。
答え2
Solaris 10は、EAL4+のタグセキュリティプロファイルの共通基準評価を実行します。これらの分離は領域別に提供される。ゾーンは、Trusted Extensions構成にデプロイされたときにこれらの分離を提供するように設計されています。当初の質問は、Solaris Trusted Extensionsの非常に典型的なユースケースを説明しており、世界中のさまざまなクラスのネットワークに安全に渡っている「ネットワークガード」などの多くの展開があります。
答え3
答えは少し「はい」と「少しいいえ」です。ゾーンは、ホスティングLDOMまたは物理サーバー上で実行されているのと同じカーネルを使用します。コアが破壊されると、すべてのコアがフラッシュされます。しかし、サーバーの役割に関する限り、ネットワーク設定の実写を本当にうまく実行している場合は、それらが孤立していると言えます。
理想的な世界では、これらの設定は必要ありません。通常、すべてのWebサーバー、すべてのアプリケーションサーバー、およびすべてのデータベースサーバーを同じLDOMまたは物理サーバーに結合します。水平にサイズを変更します。アプリケーションサーバーがより多くの電力を必要とすると、他のLDOMまたは物理サーバーを追加し、アプリケーションサーバーの負荷を再配布できます。ネットワークまたはデータベースサーバーと同じです。